Het National Institute of Standards and Technology (NIST) heeft een nieuw advies gegeven voor wachtwoordbeleid. Voorheen werd aangeraden om complexe wachtwoorden te gebruiken die regelmatig gewijzigd moesten worden. In een nieuw concept van het NIST gaat het roer helemaal om.
De aanbevelingen komen er in het kort op neer dat wachtwoorden niet meer regelmatig veranderd hoeven te worden. Ook hoeven ze niet meer ingewikkeld te zijn. Wel pleit het NIST ervoor om validatie af te dwingen, zodat gebruikers geen onveilige wachtwoorden kunnen kiezen.
Veranderen en complexiteit onnodig
Het NIST wijst erop dat vele studies al hebben aangetoond dat het periodiek veranderen van wachtwoorden de veiligheid niet bevordert. Gebruikers kunnen de vele wijzigingen niet onthouden, waardoor ze eerder geneigd zijn om hun wachtwoord op te schrijven. Deze herinneringsbriefjes worden vaak niet veilig opgeborgen. Ook het afdwingen van een ingewikkeld wachtwoord heeft vaak een averechts effect. Om een combinatie van hoofdletters en kleine letters, cijfers en speciale tekens gemakkelijk te onthouden, zoeken gebruikers naar uitvluchten. Het wachtwoord ‘Password1$’ bijvoorbeeld, voldoet aan de regels van complexiteit maar vergroot de veiligheid niet daadwerkelijk.
Wat dan wel? Validatie!
De hamvraag is vervolgens: wat dan wel? NIST adviseert om elk nieuw wachtwoord te vergelijken met een dynamische lijst van ‘slechte wachtwoorden’. Op die manier kunnen gebruikers geen wachtwoorden meer aanwenden die door hackers gemakkelijk zijn te kraken.